「IEC62443」に準拠した工場へのサイバー攻撃による事業リスクの分析サービス、日立が開始

　日立製作所が2019年6月11日に始める「工場向けサイバーBCPリスクアセスメント」は、製造業や重要インフラ事業者を対象に、工場のIoT（Internet of Things：モノのインターネット）化に伴うセキュリティ対策の有効度を可視化するサービス。工場がサイバー攻撃を受けて操業が停止した場合の事業リスクを分析し対策を提案する。

　同社は工場向けIoTセキュリティとして、「現状把握」「多層防御・検知」「運用・対処」の3段階でサービスを提供しているが、サイバーBCPリスクアセスメントは「現状把握」段階のサービスを強化したものになる（図1）。

図1：日立製作所の「工場向けサイバーBCPリスクアセスメント」は工場向けIoTセキュリティソリューションにおける「現状把握」段階のサービス

　サイバーBCPリスクアセスメントでは、工場のセキュリティレベルを把握するための診断ツールを使用する。診断結果を基に、工場の制御システムに特有のセキュリティリスクを可視化し、対策が必要な箇所や課題を洗い出し、対策立案につなげる。

　診断ツールには、産業制御システムのセキュリティ規格である「IEC 62443」や、サイバーセキュリティに関する規定集「NISTサイバーセキュリティフレームワーク」などの国際規格に準拠しているほか、日立が自社工場で策定・運用しているセキュリティガイドラインのノウハウを反映することで、BCP（事業継続計画）における制御システム特有のセキュリティリスクについてもカバーしているという。

　診断ツールは、利用企業の現場が必要とする項目を備える形にカスタマイズして提供する。利用企業自身が継続的にチェックと改善を繰り返すことで、セキュリティスキルの維持・向上が図れるとする。システムに関する項目だけでなく、その運用やマネジメントに関する項目までカバーしているためだとしている。

　診断結果に基づく対策も提案する。BCPの観点からの現場の改善策や、組織の体制確立、現場担当者が実行可能な運用環境の整備など、現場のセキュリティレベルの向上だけでなく、セキュリティマネジメント体制の確立も支援する。

　セキュリティスキルの維持・向上に対しては、現場担当者からネットワーク管理者、経営幹部までを対象にしたセキュリティの教育カリキュラムの策定を支援する。セキュリティ教育講座やセキュリティ演習、訓練施設を使った総合訓練を含めた提供が可能という。

　サイバーBCPリスクアセスメントの利用料金は個別見積もり。